Mise en route de ServiceNow Analyse de l'intégrité des journaux (HLA)

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 4 minutes de lecture

    • ServiceNow Analyse de l'intégrité des journaux prédit les problèmes informatiques avant qu’ils n’affectent vos utilisateurs. L’application vous aide à résoudre les problèmes plus rapidement en collectant, en analysant et en corrélant les données de journal générées par la machine en temps réel. Il détecte toute anomalie ou déviation du comportement normal au fur et à mesure qu’elle se produit et vous alerte des problèmes éventuels.

    Analyse de l'intégrité des journaux reçoit et traite les journaux via le Serveur MID et envoie des événements à l'application ServiceNow Gestion des événements.

    Données pouvant être traitées par Analyse de l'intégrité des journaux

    Analyse de l'intégrité des journaux peut gérer n'importe quel type de données de journal textuel générées par ordinateur. Elle peut traiter les journaux d'application, d'infrastructure et de réseau, ainsi que d'autres types de données de journal textuel. Bien qu'une CMDB (Configuration Management Database) puisse être utile pour générer des événements et des alertes de haute qualité, elle n'est pas nécessaire.
    Remarque :
    • Analyse de l'intégrité des journaux prend en charge uniquement les journaux UTF-8. L’application ne prend pas en charge les journaux binaires.
    • Si vous envoyez des journaux dans une langue autre que l’anglais, une configuration supplémentaire peut être requise.

    Architecture

    Analyse de l'intégrité des journaux collecte les journaux en cours de diffusion dans votre instance ServiceNow à partir de points de terminaison ou de data lakes tels que Splunk et Elasticsearch. L’instance reçoit les journaux via l’instance de connecteur du Serveur MID . Analyse de l'intégrité des journaux identifie et trie les anomalies dans vos données de journal à l’aide de modèles d’apprentissage machine (ML) non supervisés. Elle regroupe ensuite les anomalies et applique d'autres algorithmes pour pouvoir identifier la cause première du problème.

    La figure suivante montre une configuration utilisant Rsyslog, Splunk, Filebeat et Elasticsearch.

    Figure 1. Architecture de Health Log Analytics
    Architecture d’Analyse de l’intégrité des journaux.

    Workflow

    Analyse de l'intégrité des journaux collecte et traite automatiquement les données du journal. Elle structure les données de façon logique pour que les opérateurs analysent et génère des alertes et des suggestions significatives qui s'affichent dans Gestion des événements.

    Le diagramme montre le workflow de Analyse de l'intégrité des journaux, de la collecte des données jusqu'à l'envoi d'un événement ou d'une alerte à Gestion des événements.

    Figure 2. Workflow de Health Log Analytics
    Workflow Analyse de l’intégrité des journaux : ingestion – structuration – enrichissement – analyse – ML et IA – alerte dans Gestion des événements
    Ingestion
    Cette couche connecte votre environnement à Analyse de l'intégrité des journaux. Vous pouvez diffuser vos journaux directement à partir de serveurs et de points de terminaison ou à partir de référentiels de journaux. La configuration guidée facultative vous aide à créer des connecteurs d'entrée de données pour les sources de données courantes suivantes :
    • Rsyslog
    • Beats
    • Splunk
    • Elasticsearch
    • Serveur MID
    • TCP
    Structuration
    Cette couche concerne la structuration des données de journal et du mappage automatique vers des silos logiques, appelés Composants. La structuration des données peut être effectuée automatiquement ou manuellement.
    Le système structure automatiquement les données du journal en extrayant les propriétés suivantes des messages de journal entrants : message, horodatage, hôte, gravité et ID externes. Il extrait des valeurs explicites, telles que « property-name » et « value is IP » et sémantiques telles que la longueur, le nombre de mots anglais et la variance.
    Le mappage automatique affecte automatiquement des exemples de journal et des métadonnées aux balises appropriées. Le système tente de mapper les lignes de journal en analysant la source qui diffuse les données. Le mappage est basé sur des conseils d'agent et des champs d'en-tête de transport classiques.
    Enrichissement
    Cette couche gère l'identification des parties variables d'un message de journal.
    Figure 3. Workflow de Health Log Analytics - Enrichissement
    Workflow Analyse de l’intégrité des journaux : enrichissement.
    Il identifie également les mots clés et les propriétés contextuelles. Dans l'image, « WARN » et « Failed » sont les mots clés à suivre. « User », « source IP » et « port » sont les propriétés contextuelles.
    Analyse
    Dans cette couche, chaque ligne de journal est indexée. Analyse de l'intégrité des journaux extrait les propriétés du message de journal interne qui contribuent aux modèles de comportement auxquels le système doit s'attendre. Le comportement anormal sort de ce comportement attendu. Vous pouvez rechercher un événement et ses propriétés les plus importantes pour le triage manuel.
    Apprentissage machine (ML) et intelligence artificielle (IA)
    Analyse de l'intégrité des journaux utilise des algorithmes d'apprentissage machine avancés non supervisés pour détecter les modèles dans les journaux et apprendre leur comportement de données unique. Il définit ensuite des seuils dynamiques basés sur la signature de données en temps réel pour détecter les problèmes lorsqu'ils se produisent pour la première fois. Lorsque le système détecte un écart par rapport au modèle typique, il envoie un événement à Gestion des événements.
    Alerte dans Gestion des événements
    Analyse de l'intégrité des journaux envoie des événements à Gestion des événements. Dans Gestion des événements, les alertes de Analyse de l'intégrité des journaux apparaissent dans la liste Toutes les alertes. Cette liste permet aux opérateurs de voir les alertes de l'événement et du type d'alerte de Analyse de l'intégrité des journaux à un seul emplacement.